|
IRCBOT.H destructivo troyano/backdoor borra contenido de recursos
compartidos ocultos trunca sistemas.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/IRCBot.H,
Troj/IRCBot.H
 |
|
IRCBot.H
es
un destructivo troyano/backdoor
reportado el 09 de Septiembre del 2004, que ingresa a los
sistemas través de cualquier puerto TCP
que se encuentre abierto con el archivo de nombre ssvchost.exe
y se conecta a un servidor IRC
(Internet Chat Relay)
aunque también puede usar otros
servicios de Internet.
Aprovecha
las vulnerabilidades de las Redes con recursos compartidos
"ocultos" C$,
D$, Admin$
e IPC$.
Borra todo su contenido dejando
inutilizables a los sistemas infectados. |
Este
troyano/backdoor permitirá al hacker poseedor del software
Cliente tomar el control absoluto de los sistemas
infectados, robando
información, claves de licencia de juegos y ejecutar una variedad de acciones y
estragos, antes de truncar al sistema.
Es un
PE (Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003, está desarrollado en MS Visual C++, con 95
KB de extensión y comprimido con el utilitario UPX (Ultimate
Packer for eXecutables):
http://upx.sourceforge.net
Al ejecutarse en memoria se copia a la
carpeta %System% con el nombre de ssvchost.exe
creando la llave de registro:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Media Player]
y para activarse la próxima vez que se
re-inicie el sistema genera las siguientes llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Window2" = "%System%\ssvchost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Window2" = "%System%\ssvchost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Window2" = "%System%\ssvchost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Window2" = "%System%\ssvchost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Window2" = "%System%\ssvchost.exe"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Al siguiente inicio revisa las unidades de disco del sistema infectado
y de hallarlas, roba y envía al autor del virus las claves de licencia de uso de los
siguientes juegos:
- Battlefield 1942
- Battlefield 1942: Secret Weapons Of WWII
- Battlefield 1942: The Road To Rome
- Battlefield 1942: Vietnam
- Black and White
- Command and Conquer: Generals
- Command and Conquer: Generals: Zero Hour
- Command and Conquer: Red Alert2
- Command and Conquer: Tiberian Sun
- Counter-Strike
- FIFA 2002
- FIFA 2003
- Freedom Force
- Global Operations
- Gunman Chronicles
- Half-Life
- Hidden and Dangerous 2
- IGI2: Covert Strike
- Industry Giant 2
- James Bond 007: Nightfire
- Medal of Honor: Allied Assault
- Medal of Honor: Allied Assault: Breakthrough
- Medal of Honor: Allied Assault: Spearhead
- Nascar Racing 2002
- Nascar Racing 2003
- NHL 2002
- NHL 2003
- Need For Speed: Hot Pursuit 2
- Need For Speed: Underground
- Neverwinter Nights
- Ravenshield
- Shogun: Total War: Warlord Edition
- Soldiers Of Anarchy
- Soldier Of Fortune 2
- The Gladiators
- Unreal Tournament 2003
- Unreal Tournament 2004
- Soldier of Fortune II - Double Helix
Luego a través de un puerto TCP
abierto se conecta al servidor IRC
(Internet Chat Relay) irc.xerologic.net,
desde el cual recibirá instrucciones del autor del virus tales como:
- Controlar la instalación y administrar el
backdoor.
- Propagar el backdoor a través del DCC
(Direct Client to Client)
- Descargar y ejecutar archivos con códigos
malignos.
- Enviar información del sistema.
- Terminar procesos arbitarios.
- Iniciar un servicio de conexión proxy.
- Acceder a sitios web con direcciones IP
aleatorias.
- Ejecutar ataques DoS a esos sitios web.
- Copiarse a sí mismo a carpetas con recursos
compartidos a otros equipos.
Nota:
el DCC es un protocolo IRC que permite a
los usuarios comunicarse directamente por Chat en forma privada e
intercambiar archivos, sin tener que usar un servidor IRC.
Finalmente borra el contenido de los
siguientes recursos compartidos ocultos:
- c$ (toda
la unidad C:\)
- d$ (toda
la unidad C:\)
- Admin$
(carpeta C:\Winnt)
- IPC$
(recurso compartido para administración remota)
Con lo cual el sistema quedará deshabilitado y
será necesario re-instalar el sistema.
Los payloads
de este troyano/backdoor son los siguientes:
- Ingresa a los
sistemas través de cualquier puerto TCP
que se encuentre abierto con el archivo de nombre ssvchost.exe.
- También puede ingresar haciendo uso de
otros servicios de Internet.
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Roba claves de licencias de uso de
juegos de PC.
- Controla remotamente archivos, programas
y procesos de los sistemas atacados.
- Intercambia información entre el
sistema remoto y el hacker, via Chat.
- Se conecta vía HTTP a direcciones IP
aleatorias e intenta saturarlas con ataques DoS.
- Borra el contenido de los recursos
compartidos ocultos.
- Será necesario re-instalar el sistema
operativo.
PER ANTIVIRUS®
versión 8.8 con registro de virus al 09 de
Septiembre del 2004 detecta y elimina este troyano/backdoor.
